さらに、MicrosoftはPCユーザーに認める権限の数を減らすことでVistaのセキュリティを強化しようとしている。Windows XPの場合、大半のユーザーが「管理者」のアクセス権を持つことが可能だが、その点が悪用されて、マシン上に悪質なソフトウェアをインストールされるおそれがある。それに対し、Vistaでは新たに導入される「protected administrator(限定的な管理者)」という権限がデフォルトになる可能性が高いとAllchinは述べた。
ユーザーのアクセス権のデフォルトが「protected administrator」になるとすると、Vistaのユーザーは特定のタスクを処理するために、この設定を完全な管理者のものに変更しなくてはならなくなる。Vistaは完全な管理者権限が必要とされる場合、ユーザーにその旨を知らせるアラートを表示する。
Vistaの次のプレビュー版では、完全な管理者権限を必要とするすべてのアクションが、シールドのなかに表示されるようになるとAllchinは述べた。
また、VIstaでは最低限の権限だけが付与された「標準ユーザー」モードも用意される。このモードは、Windows XPのものと比べて改善されており、たとえばユーザーがPCの時刻を変更させるために、わざわざIT部門を呼び出すといった必要はなくなる。しかし、ユーザーがたとえば自分でアプリケーションをインストールすることはできなくなる。
企業各社ではおそらく社員がこの標準ユーザーモードでVistaを利用することになりそうだとAllchinは述べた。同士によると、Vistaでは「Intenet Explorer(IE)7」も「限定モード(protected mode)」がデフォルトになるという。このモードでは、最初に許可を求めない限り、テンポラリーファイルフォルダー以外の箇所にウェブブラウザがデータを書き込むことができなくなるため、悪質なプログラムが勝手にインストールされることはなくなるという。「IE全体をセキュリティの許可が必要なようにした」(Allchin)
64ビットプロセッサに搭載するシステムにVistaを導入した場合、デバイスドライバーのようなカーネルモードのソフトウェアを動かすのにデジタル署名を求められると、Allchinは述べた。これはルートキットのようなソフトウェアがPCの奥深くに勝手にインストールされるのを防ぐための措置だという。
また、MicrosoftはすでにWindows Vistaに搭載されるセキュリティ対策ソフトウェアをアップデートし、脅威への対策に役立てている。同OSのファイヤウォールはアップデートの結果、受信メールと送信メールの両方を監視するようになっている。それに対し、XP SP 2では受信メールのトラフィックしかチェックされていない。また、Microsoftは自社のスパイウェア対策ツール「Windows Defender」を、Vistaの一部として提供している。
「まずは、不注意による問題発生を防ぎ、あるいはそうした行為がシステムに与えそうな影響の度合いをユーザーに警告する。次に、何かを侵入させてしまった場合には、Defenderが警告を出し、ユーザーに命令を取り消せることを知らせる。さらに、何かが侵入し本当にひどいことをしてしまった場合は、Windows XPの『System Restore』に相当する機能でバックアップした状態に戻すこともできる」(Allchin)。Microsoftは「System Restore」の新たな名前を決めていないと同氏は述べた。
Vistaに含まれる他のセキュリティ関連機能としては、コンピュータの紛失/盗難時にデータを保護するための「BitLocker Drive Encryption」もある。この機能はTPM(Trusted Platform Module)というチップと連動するように設計されている。TPMは、暗号鍵やパスワード、デジタル証明書を保管するためのプロテクトのかかった専用エリアを提供する。BitLockerは、Microsoftが当初Vistaへの搭載を計画していた壮大なハードウェアベースのセキュリティ機能の名残りの1つだ。
Vistaでは、企業向けにリムーバブルストレージ装置に対するコントロールも強化され、たとえばUSBフラッシュメモリや外付けハードディスクなどの接続を、IT部門の管理者が中央から制限できるようになる。この機能の狙いは、知的財産や機密データの改ざんや盗難を防止することだ。
IDCアナリストのAl Gillenは、MicrosoftがUSBメモリの接続制御能力など必要性が高かった機能をVistaに追加したと述べている。
「この種の事柄は大きな改善とはいえないが、しかし実際にとても重要だ」(Gillen)
しかし、他のソフトウェアの場合と同じく、Vistaも攻撃を受けるおそれがまったくないわけではない。実際、Microsoftはすでに同OSのセキュリティアップデート公開を余儀なくされている。このセキュリティパッチは、Windowsの先行バージョンに見つかっていたのと同じWindows Meta File (WMF) の画像処理方法に関連する脆弱性に対処するものだった。「あれは私を相当怒らせた」(Allchin)
同氏によると、Microsoftはあらゆる種類のファイルについて解析を進めていたところで、WMFにはまだ着手していなかったという。「われわれはあの脆弱性を見つけていたはずだった。あの問題はリストに載っていた。(脆弱性が公表される前に)たどり着かなかっただけだ」(Allchin)
「このシステムが完璧だと言っているつもりはまったくない。セキュリティの問題は、Vistaだけでなく、あらゆるソフトウェアで、IT業界にとっての課題になるだろう」と同氏は付け加えた。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果